(转载:www.idcew.com) 美国SK机房硬防介绍
DDOS的过滤 我们的网络正积极过滤3(上游,核心路由器,路由器的分布)和动态两阶段(分销路由器,防火墙)过滤的不同阶段。我们NIDS(网络入侵检测系统)设备,捕捉入站通信,检测并记录恶意流量,分析它,最后提供了最适当的过滤规则(3-7层),以我们的网络防火墙过滤与可能的损失越少攻击(s)对合法的流量。 NIDS的'记录功能包括报告(完成反欺骗检查)的源IP涉及到ISP的滥用部门和防入侵组织,依法当局相连。
我们的防火墙有能力,可提供高达layer7过滤和它们之间的核心路由器连接(这是直接连接到数据中心的核心路由器)和我们的主路由器(即我们的交换机连接到)接受NIDS的过滤规则和/或很少从我们的工作人员。防火墙被设计为两个独立在一起。默认情况下,他们都共同发挥作用,但如果因任何理由变得不可用网络入侵检测系统,防火墙将开始独立运作,即使这意味着较低的性能,以暂时避免被过滤在网络入侵检测系统,直到再次可用。此外,如果无法得到一个防火墙,它立刻得到排除在防止网络负载平衡越来越受影响的系统。这样的网络有一个完整的故障转移无论在任何防火墙或入侵检测系统变得不可用。
我们的网络入侵检测系统的分析,并确定每个数据包的协议,报文类型和几个提供机会防火墙过滤方法,至少有15个攻击(计划增加至20 +在不久的将来方法)等特点的攻击。在极少数情况下,当一个攻击不能被过滤不同,一个IP空路由应用。如果攻击超过Gbps的特定数量的(每秒千兆位)或Mpps的(每秒万包),额外的ACL可能会在我们的路由器(s)应用。
这种防火墙上述机制已完全设计和工程人员使用美国SK机房在防止DDoS攻击的过滤,密集的知识和经验的基本认识。我们的防火墙和入侵检测系统使用的是具有设计和检测防火墙软件的开放原始码作业系统。 (转载:www.idcew.com) |